Active Directory 密码同步代理的 Identity Manager 用户密码到期

Question

Active Directory 密码同步代理是 IBM tivoli 提供的一种工具，用于将密码与与 Tivoli Identity Manager 应用程序集成的企业应用程序同步。该代理程序将安装在基础架构中的所有域控制器上。每当用户或管理员更改密码时，此模块都会捕获明文密码并将其发送到 tivoli 身份管理器平台。对于此 Active Directory 密码，同步代理程序使用 ITIM（IBM tivoli 身份管理器）用户及其凭证将密码传播到 ITIM。并且 ITIM 将有密码规则，即密码将在某些天数内过期。此 AD 代理的 ITIM 用户也必须在过期时进行更改。当用户或管理员尝试修改密码时过期，无法修改密码。

在测试系统中，我们只需在 ITIM 中更改用户的密码，并使用新密码配置 AD 密码代理。

在生产系统中，有没有办法将这种密码更改传播到所有 Active Directory 域？这种情况如何处理？

Answer 1

如果您使用的是 W2K8 R2 之前的平台。

在服务器上，您不能将 ITIM 服务配置为Local Service、Network Service 或Local System 运行吗？ 问题是，这些服务帐户易于配置和使用，但通常在多个应用程序和服务之间共享，并且无法在域级别进行管理。

在 W2K8 R2 和 Windows 7 上

Windows Server 2008 R2 和 Windows 7 中提供了两种新类型的服务帐户：managed service account 和 virtual account。

托管服务帐户旨在为关键应用程序（如 SQL Server 和 IIS）提供独立的域帐户，同时无需管理员手动管理这些帐户的服务主体名称 (SPN) 和凭据（密码会自动更改）。

虚拟帐户在 Windows Server 2008 R2 和 Windows 7 中是“受管理的本地帐户”，可以使用计算机的凭据访问网络资源。